Regel auf Verlaufsdaten anwenden

Wenn Sie eine neue Regel erstellen und aktivieren, beginnt die Regel mit der Suche nach Erkennungen basierend auf den Ereignissen, die von Ihrem Chronicle-Konto in Echtzeit empfangen wurden. Bei einer Retrohunt können Sie die ausgewählte Regel verwenden, um in den vorhandenen Daten in Chronicle nach Erkennungen zu suchen. RetroHunts werden geplant, wenn Ressourcen zur Ausführung verfügbar sind. Erwarten Sie Abweichungen bei den Ausführungszeiten von Retrohunt.

So starten Sie eine RetroHunt:

  1. Rufen Sie das Regel-Dashboard auf.

  2. Klicken Sie auf das Symbol für die Regeloption für eine Regel und wählen Sie Yara-L Retrohunt aus.

    RetroHunt YARA-L RetroHunt-Option

  3. Wählen Sie im Popup-Fenster YARA-L RetroHunt die Start- und Endzeit für Ihre Suche aus. Der Standardwert beträgt eine Woche. Im Fenster werden das verfügbare Datum und der Zeitraum angezeigt. Klicken Sie auf AUSFÜHREN, wenn Sie bereit sind.

    RetroHunt-Pop-up-Fenster

    Pop-up-Fenster „Yara-L RetroHunt“

  4. Sie können den Fortschritt der RetroHunt-Ausführung in der Ansicht „Regelerkennung“ der Regel sehen. Wenn Sie eine laufende Retrohunt abbrechen, können Sie sich weiterhin alle Erkennungen ansehen, die während der Ausführung erkannt wurden.

  5. Wenn Sie mehrere RetroHunts durchgeführt haben, können Sie die Ergebnisse vergangener RetroHunt-Ausführungen anzeigen, indem Sie auf den Zeitraum-Link klicken, wie in der folgenden Abbildung dargestellt. Die Ergebnisse der einzelnen Ausführungen werden in der Ansicht „Regelerkennungen“ im Diagramm „Zeitachse und Erkennungen“ angezeigt.

    RetroHunt läuft

    Yara-L Retrohunt-Läufe

  6. Wenn Sie eine Referenzliste in einer Regel verwenden, eine RetroHunt ausführen und dann Elemente aus dieser Liste entfernen, müssen Sie diese Regel auf eine neue Version überarbeiten, um die neuen Ergebnisse zu sehen. Chronicle löscht Erkennungen nicht aus Referenzlisten. Wenn Sie die Regel aktualisieren, werden die Ergebnisse also nicht aktualisiert.